Ärzte Zeitung, 18.04.2011

Hintergrund

Neue Verträge und Kooperationen: Patientendaten sind immer öfter in Gefahr

Der Bundesdatenschützer geht in seinem Jahresbericht mit den Kassen schwer ins Gericht. Und kritisiert die Ärzteschaft.

Von Rebekka Höhl

Neue Verträge und Kooperationen: Patientendaten sind immer öfter in Gefahr

Mit Blick auf das Datenschutzverhalten von Kassen und Ärzten notiert der Datenschutzbeauftragte Peter Schaar erhebliche Mängel.

© Dustin Lyson / fotolia.com

Der Tätigkeitsbericht 2009/10 des Bundesdatenschutzbeauftragen Peter Schaar liest sich wie das Skript zum "kleinen Horrorladen": Da gibt es gesetzliche Krankenkassen, die sensible Patientendaten inklusive Bankverbindung an externe Callcenter weitergeben, deren Berater am heimischen PC und Telefon arbeiten. Es werden Versichertendaten nach psychischen Erkrankungen gescreent. Aber auch die Ärzte bekommen ihr Fett weg: Bei den Selektivverträgen würden sie nicht ihren Datenschutzpflichten gerecht.

Dabei hält Peter Schaar die Verstöße, insbesondere der gesetzlichen Kassen, nicht für Einzelfälle. Im Fall des Callcenters sagt er ganz klar: Ihm dränge sich der Eindruck auf, "dass eine einseitige Fokussierung auf wirtschaftliche Kenngrößen sich negativ auf den Datenschutz auswirke".

Doch erst einmal zu dem für Ärzte wohl spannendsten Thema, den Selektivverträgen. Wirklichen Datenmissbrauch konnten Schaar und seine Kollegen auf Landesebene hier noch nicht feststellen. Aber beim Datenschutz geht es ja auch darum, vorzubeugen. Was Schaar und seine Kollegen bemängeln, ist den meisten Ärzten spätestens bekannt, seit der Bremer Hausarztvertrag Anfang des Jahres gestoppt werden musste - wegen Bedenken samt Verfügung des Unabhängigen Landeszentrums für Datenschutz in Schleswig-Holstein (ULD). Der Kritikpunkt: Die Ärzte geben zur Abrechnung ihrer Leistungen Patientendaten an eine privatrechtliche Stelle weiter. Bei den Hausarztverträgen sind das meist neu eingerichtete Abrechnungsstellen der Hausärztlichen Vertragsgemeinschaft (HÄVG). Und diese würden eben nicht ähnlich transparent wie das Kollektivsystem, also die KVen, arbeiten.

Den Ärzten fehlt jegliche Kontrollmöglichkeit

Denn zum einen würden die Ärzte verpflichtet, ihre Abrechnung über eine bestimmte Software vorzunehmen. Gleichzeitig würden die Verträge oder Verbände den Ärzten die Kenntnis wesentlicher Funktionen der Software verwehren. "Es ist daher zweifelhaft, ob die Ärzte wissen, welche genauen Daten sie mittels der Software an den Hausärzteverband weitergeben", schreibt Schaar in seinem Bericht. Aber, so der nächste Kritikpunkt, die Ärzte sind rechtlich gesehen die Auftraggeber der privatrechtlichen Abrechnungsstelle und damit datenschutzrechtlich verantwortlich für den sicheren Umgang mit den Patientendaten. Das beinhaltet die Pflicht, zur Kontrolle der Auftragnehmer. In der bisherigen hausarztzentrierten Versorgung könnten die Ärzte diese Kontrollfunktion jedoch nicht wahrnehmen.

Und so steht es im Gesetz

Erhebung, Verarbeitung, Nutzung von Sozialdaten im Auftrag, Paragraf 80, SGB X:
"(1) Werden Sozialdaten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzbuches und anderer Vorschriften über den Datenschutz verantwortlich ...
(2) Eine Auftragserteilung für die Erhebung, Verarbeitung oder Nutzung von Sozialdaten ist nur zulässig, wenn der Datenschutz beim Auftragnehmer nach der Art der zu erhebenden, zu verarbeitenden oder zu nutzenden Daten den Anforderungen genügt, die für den Auftraggeber gelten.
...
Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren."

Allein die Ausgestaltung der Verträge nehme Ärzten de facto schon die Gestaltungsbefugnis und damit die Rolle des Auftraggebers. Denn alle Vertragsinhalte - und eben auch die Auswahl eines wiederum unterbeauftragten Rechenzentrums - würden die Hausärzteverbände bestimmen, so Schaar. Häufig vergessen wird dabei, dass nach der Arzneimittelrechts-Novelle vom 17. Juni 2009 die strengen datenschutzrechtlichen Regelungen des Paragrafen 80 SGB 10, an die sich die gesetzlichen Kassen halten müssen, auch für Ärzte gelten (vgl. Kasten). Und danach muss der Auftraggeber, also der einzelne Arzt, regelmäßig die Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zum Datenschutz in Augenschein nehmen.

Allerdings gilt diese Regelung nur befristet bis zum Sommer dieses Jahres. Schaar und seine Kollegen auf Landesebene seien aber bereits mit allen Beteiligten in Gesprächen, um eine Lösung für eine endgültige Rechtsgrundlage zu erarbeiten. Für Ärzte bleibt es also spannend.

Dass eine gesetzliche Regelung allein nicht reicht und regelmäßige Kontrollen der Datenschützer durchaus ihre Berechtigung haben, zeigen die gesetzlichen Kassen. So versuchte eine Kasse ihr internes Callcenter zu entlasten, indem sie für Zeiten hohen Anrufaufkommens sowie in den Abend- und Nachtstunden einen externen Dienstleister einschaltete. Nur, dieser beauftragte wiederum ein Schwesterunternehmen mit der Erbringung von Teilen der Leistung.

Das wäre noch nicht schlimm gewesen, wenn das Schwesterunternehmen nicht selbstständige Berater eingesetzt hätte, die zu Hause mit ihren Privat-PC arbeiteten - dabei hatten sämtliche Berater "undifferenzierten Zugriff auf den gesamten Versichertendatenbestand" inklusive Bankverbindungen. Auf diesen Rechnern konnten sie zwar keine Versichertendaten direkt speichern und ausdrucken, aber Screenshots (einzelne Maskeninhalte des Programms) lokal abspeichern.

Ebenfalls aufgestoßen ist dem Bundesdatenschützer die Praktik, bei den Finanzämtern die Steuer-ID nachzufragen, um absetzbare Versichertenbeträge bei Selbstständigen direkt dem Fiskus zu melden. Und die Versicherten lediglich im Kundenmagazin auf ihr Widerspruchsrecht hinzuweisen. Hier müsse jeder Versicherte einzeln und direkt angeschrieben werden. Schaar: "Nicht alle Versicherten werden die Zeitschrift lesen, und kaum ein Leser wird sich der rechtlichen Folgen des Verzichts auf sein Widerspruchsrecht bewusst sein." Doch hier sieht Schaar das Bundesministerium der Finanzen gefragt, denn dieses lehnt bislang eine Papierbescheinung ab.

Kasse durchforstete Datenbank nach Diagnosen

Eine Ersatzkasse hatte ein an sich löbliches Projekt auf die Beine gestellt: Sie wollte gemeinsam mit dem Caritasverband psychisch erkrankten Personen den Wiedereinstieg in ein geregeltes Leben ermöglichen, indem sie sich über die Caritas als ehrenamtliche Helfer engagieren sollten. Um geeignete Versicherte zu identifizieren, screente die Kasse ihre kompletten Daten allerdings nach Medikamentenverordnungen, Krankenhauseinweisungsdiagnosen etc. Zusätzlich wurden die Daten der Projektteilnehmer auch noch ausgwertet - laut Schaar ein Verstoß gegen den Datenschutz, weil hierzu die gesetzliche Grundlage und die Einwilligung der Versicherten fehle.

In der Regel zeigen die Kassen jedoch Einsicht und bessern die Datenmissstände schnell nach. In zwei Fällen laufen allerdings noch die staatsanwaltlichen Ermittlungen, schreibt Schaar. Zwei gesetzliche Kassen hätten zum Zweck der Vermittlung privater Zusatzversicherungen kooperierenden privaten Krankenversicherern Zugang zu sensiblen Daten ihrer Versicherten verschafft.

Missstände taten sich aber auch beim Paul-Ehrlich-Institut (PEI) auf. Beim Forschungsprojekt "Humanes endogenes Retrovirus, Typ K (HERV-K)" erfolgte das Speichern der Datensätze von Patienten mit Angaben zum Gesundheitszustand und Diagnosen ohne Einwilligung der Betroffenen und teilweise sogar unter Nennung der Klarnamen. Zusätzlich sei die Datei unverschlüsselt geführt worden und die Zugangsberechtigungen zu den Daten seien nicht geklärt gewesen, berichtet Schaar. Inzwischen habe das PEI die festgestellten Mängel jedoch beseitigt.

Lesen Sie dazu auch den Kommentar:
Laxer Umgang mit Patientendaten

[20.04.2011, 08:32:12]
Uwe Schneider 
Datenschutz in der PKV
@ Dr. Schmidt: Der BfDI ist, abgesehen von der Telekommunikationsbranche, nicht für die Kontrolle der Privatwirtschaft zuständig, also auch nicht der PKV. Von daher konnte er dazu nichts schreiben.

Immerhin hat das Bundesverfassungsgericht durch Beschluss v. 23.11.2006 pauschale Vorab-Schweigepflichtentbindungen für jegliche künftige Leistungsfälle für unwirksam erklärt. Freilich muss man als Privatversicherter gleichwohl im Leistungsfall die erforderlichen ärztlichen Bestätigungen vorlegen. Wenn man keine eigene Kontrollinstitutionen wie MDK oder KV auch in der PKV einrichten will, wird man ihr das zur Leistungsprüfung aber nicht vollkommen verweigern können.

In Bezug auf die vorgelagerte Risikoprüfung haben die für den Datenschutz zuständigen Aufsichtsbehörden der Länder immerhin eine Reform des Hinweis- und Informationssystems der Privatversicherungen (HIS) erreicht. Dieses greift u.a. auch bei Gesundheitsangaben für Lebens-, Renten- oder Berufsunfähigkeitsversicherungen ein, nicht jedoch für die PKV, die ihre eigene Sonderwagnisdatei hat. Da sollte man in der Tat noch einmal etwas genauer hinschauen und möglicherweise die Reform des HIS übertragen. Solange man die PKV mit dem Prinzip der Risikoäquivalenz halten möchte, muss man ihr aber grds. aber auch eine Risikoprüfung gestatten (nicht dass die PKV eine Bestandsgarantie hätte, aber wer a sagt muss auch b sagen).  zum Beitrag »
[19.04.2011, 11:17:03]
Dr. Jürgen Schmidt 
Und die Privatversicherten ?
Warum die Betrachtung auf die gesetzlich Versicherten und die Handhabung der zugehörigen Daten beschränken?

In Deutschand besteht Krankenversicherungspflicht und nicht alle Menschen haben Zugang zur gesetzlichen Krankenkasse, müssen sich also privatrechtlich versichern.
Die Preisgabe persönlicher Daten, und zwar aller, auch jahrzehntelang zurück liegender Gesundheitsereignisse, ist in diesem Fall keine freiwillige Entscheidung, die datenschutzrechtlich nicht zu beanstanden wäre, sondern erfolgt unter indirektem, dafür aber um so folgenschwererem Zwang, der aus der Versicherungspflicht resultiert.

Die Folge ist, dass im konkreten Fall der Versicherte bei einem Wechsel der Kasse oder des Tarifes sozusagen beweispflichtig wird, dass seine Vorerkrankungen keine Risikoerhöhung bedeuten, denn die Privatkassen nutzen ihr Wissen nicht nur gnadenlos aus, sondern konstruieren aus anamnestischen Risikofaktoren, wie z.B einem früher bestandenen Übergewicht oder einer leichten nicht behandlungspflichtigen Hyperurikämie massiv prämienträchtige Versicherungsbedingungen.
Da hier weder ein Kontrahierungszwang greift, noch eine rechtliche Überpüfung der Privatkassenentscheidung möglich ist, ist nicht nur Datenschutz sondern Datenmissbrauchsschutz zu fordern!  zum Beitrag »
[19.04.2011, 09:51:22]
Monika Rimbach 
Wenn es mir doch nur bewußt wäre!?
Patientenbezogene Daten werden an und von verschiedenste Stellen weiter gegeben. Aus meiner Sicht ist es kein Abrechnungsproblem sondern ein Problem des Bewusstseins. An Tumorkonferenzen nehmen Niedergelassene Ärzte teil, die die Patienten nicht kennen. Pseudonymisiert werden die Daten nicht. Das ist aufwendig aber auch nicht im Bewusstsein, man ist ja schließlich Mediziner. Eine Patientin hat das mal sehr deutlich gesagt. Sie will nicht, dass ein unbeteiligter Arzt weiß, was sie hat. Das ginge ihn nämlich nichts an. Und außerdem würde sie den Arzt persönlich kennen. Diese Aussage konnte Sie jedoch nur tätigen, weil sie als Patientin gefragt hat, wer an der Tumorkonferenz teilnimmt.
Altenheime übermitteln Pflegeüberleitungsbögen und was da alles zu lesen ist, ist schon erstaunlich. Die Bewohner wissen gar nicht, das medizinische und nicht medizinische Daten weitergeleitet werden.

Ich glaube, es wird nicht mehr reflektiert und darüber nachgedacht, dass es auch ein informationelles Selbstbestimmungsrecht des Bürgers gibt. Egal ob Patient oder nicht erkrankter Mensch. Spätestens wenn man selbst betroffen ist und sich wundert warum fremde Menschen Informationen über einen haben, dann ist man verärgert. Aber leider erst dann.

Wir geben Behörden Daten!!! Tragen wir dazu bei, dass wir zum "Überwachungsstaat" werden? Krankenkassen bieten Arbeitgebern an zu prüfen, wie oft Mitarbeiter krank waren, welche Diagnosen sie haben um z.B. Trainings zum Rückenschonenden Arbeiten anzubieten. Das unter dem Deckmäntelchen "man möchte ja was gutes für den Mitarbeiter tun." Was geht bitte den Krankenkassenmitarbeitern meine Diagnose(n) an? Wer hat da einen Nutzen von Trainingsangeboten?
Wenn ich twittern will, oder Xing-Mitglied bin, dann entscheide ich selber ob ich etwas von mir preis geben möchte. Als Patient weiß ich nicht wer welche Daten von mir hat.
Ich würde mir mehr Bewußtsein in den Köpfen der Menschen wünschen, die meine Daten einfach herausgeben ohne mich zu fragen. Egal ob im SGB V, den Dreiseitigen Verträgen oder sonstwo verankert. Die Privatsphäre darf nicht verletzt werden und der Datenschutz darf nicht beliebig sein! zum Beitrag »
[19.04.2011, 07:53:31]
Wolfgang Thoma 
Schein und sein
Die Schere zwischen Soll und Haben klafft auch beim Datenschutz immer schneller und immer weiter auseinander. Die Vorschriften, hier im Klinikumfeld, können in ihrer Gesamtheit nicht mehr überblickt werden, da helfen auch keine Seminare der einschlägigen Organisationen. Vor allem der Email Kontakt zwischen den Beteiligten des Gesundheitswesens per Mail ist ein erhebliches Problem, da jegliches Sicherheitsbewußtsein bei den Kommunikationspartnern fehlt. MDK Anfragen, Kassenanfragen, Kommunikation mit Niedergelassenen, läüft alles per Mail im Klartext. Personelle Unterbestzung und Unterfinanzierung lassen leider regionale Lösungen versanden, die entsprechenden Mitarbeiter sind mit der Menge und Komplexität der Aufgaben mehr als ausgelastet. Verschlüsselte Email ? Da gibts drängendere Probleme... Und die Ärzte interessierts nicht wirklich, solange sie keine Vergütung für "Zusatzaufwände" bekommen.
Ob die eGK die Wunder bewirkt, mit der sie angekündigt wurde, bleibt abzuwarten. Andererseits boomt das Geschäft mit Paybackkarten und Location Based Services der Android- und iPhone Gesellschaft, als Resultat stecken persönliche Profile vöölig entblößt im Netz. Die Privatsphäre ist mit einem Klick unwiderbringlich dahin. Wo hat der Datenschutz da wirklich einen Platz ?

 zum Beitrag »

Schreiben Sie einen Kommentar

Überschrift

Text

Die Newsletter der Ärzte Zeitung

Lesen Sie alles wichtige aus den Bereichen Medizin, Gesundheitspolitik und Praxis und Wirtschaft.

Weitere Beiträge aus diesem Themenbereich

Mütter stellen früh die Weichen für Babys Gesundheit

Dicke Mutter = dickes Baby: Diese Gleichung geht oft auf - leider. Ernährungs-Experten tauschen sich daher auf einem Kongress über den frühen Einfluss der mütterlichen Ernährung u.a. auf das Diabetesrisiko des Kindes aus und geben Tipps. mehr »

Würden Ärzte Gröhe wählen?

In einer großen Umfrage fragten wir Ärzte: "Wenn der Bundesgesundheitsminister direkt vom Volk gewählt werden könnte, wen würden Sie wählen?" Lesen Sie hier die Antwort. mehr »

Bei Dauerschmerz leidet auch das Gedächtnis

Wird der Geist träger, geht das zulasten von Lebensqualität und Unabhängigkeit. Eine US-Studie hat den Einfluss anhaltender Schmerzen auf Kognition und Demenzrisiko untersucht. mehr »